Documentación de Oracle Cloud Infrastructure

Emisión de una autoridad de certificación subordinada

Emita una autoridad de certificación (CA) subordinada.

Ya debe tener una CA raíz en Oracle Cloud Infrastructure Certificates para crear una CA subordinada. Puede emitir una autoridad de certificación subordinada de cualquier otra CA siempre que no supere el número total permitido de CA en el arrendamiento.

Para crear una CA, debe tener acceso a una clave de cifrado asimétrica protegida por hardware existente desde el servicio Oracle Cloud Infrastructure Vault. Para obtener más información, consulte Visión general de Vault.

Al crear una CA con una lista de revocación de certificados (CRL), puede especificar un cubo de OCI Object Storage en el que desee almacenar la CRL. El cubo ya debe existir en el momento de crear la autoridad de certificación.

    1. En la página de lista Autoridades de certificado, seleccione el nombre de la autoridad de certificación de la que desea emitir una autoridad de certificación subordinada. Si necesita ayuda para buscar la página de lista, consulte Listado de autoridades de certificación.

      Para buscar una autoridad de certificación en un compartimento diferente, en Ámbito de lista, seleccione otro compartimento.

    2. En Recursos, seleccione Autoridades de certificación subordinadas.
    3. Seleccione Emitir autoridad de certificación subordinada.
    4. En Compartimiento, seleccione el compartimento en el que desea crear la CA.
    5. Introduzca un nombre mostrado único para la CA. Este nombre ayuda a identificar la autoridad de certificación con fines administrativos, pero no aparece como parte del certificado de CA. Evite introducir información confidencial.
      Nota

      No hay dos CA en el arrendamiento que puedan compartir el mismo nombre, incluidas las CA pendientes de supresión.
    6. (Opcional) Introduzca una descripción para ayudarle a identificar la CA. Esta descripción ayuda a identificar la CA, pero no aparece como parte del certificado de CA. Evite introducir información confidencial.
    7. (Opcional) Para aplicar etiquetas, seleccione Mostrar opciones de etiquetado. Para obtener más información sobre las etiquetas, consulte Etiquetas de recursos.
    8. Cuando esté listo, seleccione Siguiente.
    9. Proporcione la información del sujeto. La información de sujeto incluye al menos un nombre común para identificar al titular del certificado de CA. Según el uso previsto del certificado, el sujeto puede identificar a una persona, a una organización o a un punto final de la computadora. Puede utilizar comodines para emitir un certificado para varios nombres de dominio o subdominio.
    10. (Opcional) Para proporcionar más información sobre el asunto de la autoridad de certificación, seleccione Mostrar campos adicionales. Para obtener detalles sobre cada uno de los valores de un nombre distintivo de asunto, consulte RFC 5280. Cuando esté listo, seleccione Siguiente.
    11. (Opcional) Seleccione No válido antes de y, a continuación, especifique la hora y la fecha UTC cuando desee empezar a utilizar la autoridad de certificación. Si no especifica una fecha, el período de validez de la autoridad de certificación comienza inmediatamente.
    12. Seleccione No válido después de y, a continuación, especifique la fecha después de la cual la autoridad de certificación ya no puede utilizarse para emitir o validar certificados o autoridades de certificación subordinadas. (Debe especificar una fecha al menos un día posterior a la fecha de inicio del período de validez. No puede especificar una fecha posterior al 31 de diciembre de 2037. Los valores se redondean al alza al segundo más cercano).
    13. En Almacén, seleccione el almacén que contiene la clave de cifrado que desea utilizar para el certificado de CA. Si es necesario, seleccione Cambiar compartimento para especificar un compartimento diferente.
    14. En Clave, seleccione la clave en el almacén que desea utilizar. La lista incluye solo claves asimétricas en el almacén porque Certificates solo soporta claves asimétricas. Además, la lista solo incluye claves de la misma familia de algoritmos de claves de la clave que utiliza la autoridad de certificación principal. Puede seleccionar entre claves Rivest-Shamir-Adleman (RSA) de 2.048 bits o 4.096 bits. También puede seleccionar entre las claves del algoritmo de firma digital de criptografía de curva elíptica (ECDSA) que tienen un ID de curva elíptica de NIST_P384. Específicamente, la lista incluye solo estos tipos de claves asimétricas que están protegidas por un módulo de seguridad de hardware (HSM). Los certificados no admiten el uso de claves protegidas por software. Para obtener más información sobre la creación y gestión de claves, consulte Gestión de claves.
    15. Seleccione Algoritmo de firma y, a continuación, seleccione una de las siguientes opciones, según la familia de algoritmos de claves:
      • SHA256_WITH_RSA: clave Rivest-Shamir-Adleman (RSA) con una función hash SHA-256
      • SHA384_WITH_RSA: clave RSA con una función hash SHA-384
      • SHA512_WITH_RSA: clave RSA con una función hash SHA-512
      • SHA256_WITH_ECDSA: clave de algoritmo de firma digital de criptografía de curva elíptica (ECDSA) con una función hash SHA-256
      • SHA384_WITH_ECDSA: clave ECDSA con una función hash SHA-384
      • SHA512_WITH_ECDSA: clave ECDSA con una función hash SHA-512

        Cuando esté listo, seleccione Siguiente.

    16. Configure la regla de caducidad. En Duración máxima de validez de los certificados (días), especifique el número máximo de días que puede ser válido un certificado emitido por esta CA. Recomendamos encarecidamente un período de validez no superior a 90 días.
    17. En Duración máxima de validez de la autoridad de certificación subordinada (días), especifique el número máximo de días que una autoridad de certificación emitida por esta autoridad de certificación puede ser válida para emitir otras autoridades de certificación o certificados. Cuando esté listo, seleccione Siguiente.
    18. En la página Configuración de revocación, si no desea configurar una lista de revocación de certificados (CRL, certificate revococation list), seleccione la casilla de control Skip Revocation. Para configurar la revocación de certificados, desactive la casilla de control y, a continuación, especifique un cubo de Object Storage en el que tenga previsto almacenar la CRL. Si es necesario, seleccione Cambiar compartimento para encontrar un cubo en un compartimento diferente.
    19. En Formato de nombre de objeto, especifique el nombre del objeto. Puede incluir llaves en el nombre del objeto para indicar dónde puede insertar el servicio el número de versión de la autoridad de certificación que emite. Esto ayuda a evitar la sustitución de una CRL existente cuando cree otra versión de CA. Para obtener más información sobre los nombres de objetos, consulte Nombres de objetos.
    20. (Opcional) Seleccione URL con formato personalizado y, a continuación, proporcione la URL que desea utilizar con las API para acceder al objeto. Esta URL se nombra en certificados como punto de distribución de CRL (CDP). Puede incluir llaves en la URL para indicar dónde puede insertar el servicio el número de versión de la autoridad de certificación que emite. Al hacerlo, puede evitar sobrescribir un CDP existente cada vez que cree otra versión de autoridad de certificación. (Puede especificar una URL de HTTPS solo si no existen dependencias circulares en la verificación de la cadena HTTPS).
    21. (Opcional) Para proporcionar otra CDP, seleccione + Otra URL y, a continuación, proporcione otra URL donde los usuarios puedan acceder a la CRL.
    22. Cuando esté listo, seleccione Siguiente.
    23. Confirme que la información es correcta y, a continuación, seleccione Crear autoridad de certificación.
      Puede tardar un poco en crear recursos relacionados con certificados.

  • Utilice el comando oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca y los parámetros necesarios para emitir una CA subordinada:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>

    Por ejemplo:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la Referencia de comandos de CLI.

  • Ejecute la operación CreateCertificateAuthority para emitir una CA subordinada.